ในรูปแบบการเข้ารหัสเส้นโค้งวงรี มีกลุ่มวงจรที่สร้างขึ้นโดยจุดฐาน $G$ บนเส้นโค้งวงรี
กำหนดจุดสุ่มบนเส้นโค้งวงรี มีวิธีตัดสินว่าจุดสุ่มอยู่ในกลุ่มหรือไม่?
คำตอบนั้นขึ้นอยู่กับ Cryptographic Elliptic Curves ที่เรารู้จัก!
คำสั่ง Prime Cryptographic EC: เนื่องจากลำดับของกลุ่มย่อยที่สร้างโดยองค์ประกอบต้องแบ่งลำดับ ดังนั้นจึงมีกลุ่มเต็มและกลุ่มของ $\mathcal{O}$ ของการสั่งซื้อ $1$ ( NIST P curves P-192, P-224, P-256, P-384, P-521) เส้นโค้งมีลำดับเฉพาะที่แสดงใน NIST.FIPS.186-4 และนำมาจาก วินาทีที่ 1).
Cryptographic EC ด้วยปัจจัยเล็กน้อย: ในการเข้ารหัส เส้นโค้งมีคำสั่งขนาดใหญ่เพื่อความปลอดภัย และเราต้องเลือกองค์ประกอบพื้นฐานจากกลุ่มย่อยที่ใหญ่ที่สุดทั้งนี้เนื่องมาจาก
ปกป้องจาก อัลกอริทึม Pohlig-Hellman ที่ลดเวลาไปสู่ปัจจัยที่ใหญ่ที่สุดและมีประสิทธิภาพมากเมื่อคำสั่งราบรื่น กล่าวคือ ปัจจัยทั้งหมดมีขนาดเล็ก
เพื่อให้มี birational Montogmery เทียบเท่ากับเส้นโค้งเช่น Curve25519 พร้อมปัจจัยร่วม $8$ และ Ed448-Goldilocks กับ cofactor $4$. ในกรณีนี้เรามีคำสั่งสำหรับกลุ่มย่อยเช่น $2,4,8,p,2p,4p,8p$ (สำหรับ Curve25519)*
เพื่อให้เห็นว่าเป็นจุด $G$ เป็นระเบียบเรียบร้อย $2$ หรือ $p$ ง่าย ตรวจสอบ $2[G]$ หรือ $[p]G$หากผลลัพธ์คือข้อมูลประจำตัว แสดงว่าพวกเขาอยู่ในกลุ่มนี้ พวกเขา แต่ยังอยู่ในกลุ่มย่อยที่มีกลุ่มย่อย มีองค์ประกอบในกลุ่มย่อยของคำสั่ง $2p$ แต่ไม่ได้อยู่ในกลุ่มย่อยของคำสั่ง $2$ หรือ $p$. ตรวจสอบ $[2]G$ และ $[p]G$ หากพวกเขาไม่ใช่ตัวตนแต่ $[2p]G$ แล้วมันอยู่ในกลุ่มย่อยของคำสั่ง $2p$.
เดอะ กลุ่มไคลน์ เป็นกลุ่มที่เล็กที่สุดที่มีสองกลุ่มย่อยของลำดับที่ 2 เป็นแบบไอโซมอร์ฟิค $\mathbb Z_2 \times \mathbb Z_2$. สิ่งนี้อาจช่วยให้เข้าใจว่ากลุ่มย่อยสองกลุ่มที่แตกต่างกันสามารถมีลำดับเดียวกันได้
เดอะ เส้นโค้ง NIST B มีปัจจัยร่วม 2 และเส้นโค้ง K มี 4และนำมาจาก วินาทีที่ 2.
การบิดของ Cryptographic EC: การบิดของเส้นโค้งที่รู้จักกันดี ไม่มีตัวประกอบกำลังสองขนาดใหญ่ เช่นเดียวกับในกรณีที่ 2
เส้นโค้งแบบสุ่ม: ฉันไม่รู้เกี่ยวกับขนาดที่คาดหวังของปัจจัยของเส้นโค้งที่สร้างขึ้นแบบสุ่ม (เห็นบางงาน) เราสามารถมีเส้นโค้งกับคำสั่งที่มีตัวประกอบขนาดใหญ่ของคำสั่ง 2 หรือมากกว่า ในกรณีนี้ $[p]G$ จะไม่เปิดเผยสมาชิกกลุ่มย่อย เพื่อแก้ปัญหานี้ เราต้องค้นหาตัวสร้างสำหรับแต่ละกลุ่มย่อย และพยายามแก้ไข DLog
ไม่ทราบการแยกตัวประกอบของคำสั่งของกลุ่ม: ในกรณีนี้เรามี ปัญหาการตัดสินใจของกลุ่มย่อย (ตามที่ระบุไว้ในคำตอบอื่น ๆ )
ที่ให้ไว้ $(n, G, G1, e)$ และองค์ประกอบ $x \ใน G$เอาต์พุต $1$ ถ้าคำสั่งของ $x$ เป็น $q_1$ และเอาต์พุต $0$ มิฉะนั้น; นั่นคือโดยไม่ทราบการแยกตัวประกอบของลำดับกลุ่ม $n$ตัดสินใจว่าองค์ประกอบใด $x$ อยู่ในกลุ่มย่อยของ $G$. เราเรียกปัญหานี้ว่า ปัญหาการตัดสินใจของกลุ่มย่อย
แม้ว่าปัญหานี้จะสร้างผลลัพธ์ที่น่าสนใจในบริบท แต่สิ่งนี้ไม่เกี่ยวข้องกับ Elliptic Curves ที่ใช้ใน ECDH, EdDSA และอื่นๆ ในเส้นโค้งวงรี พารามิเตอร์ทั้งหมดจะเป็นแบบสาธารณะ แม้ว่าคุณจะไม่ได้ระบุตัวประกอบของลำดับของเส้นโค้ง (ไม่ชัดเจนว่าคุณจะขายเส้นโค้งของคุณให้กับชุมชนได้อย่างไร) คุณสามารถแยกตัวประกอบได้ 829 บิต ( 512 บิตประสบความสำเร็จประมาณ 20 ปีอัตตา)
หากคุณพิจารณาเส้นโค้งในลำดับที่ใหญ่มาก เราสามารถพูดได้ว่าไม่มีความหมายมากนักของลำดับเส้นโค้งที่ใหญ่กว่า 512 บิต (แม้แต่ 256) เนื่องจากเมื่ออัลกอริทึมของ Shor ถูกตั้งค่าใน Cryptographic Quantum Computer สำหรับเส้นโค้ง 256 บิต เป็นเรื่องของ เวลานักวิจัยจะทำลายสิ่งอื่นๆ สามารถดูได้จากตารางของ ผลงานของ Proos และ Zalks
ในทางกลับกัน ECC หลังควอนตัมใช้การกระโดดบน isogenies แทน DH และบทความนี้ให้คำแนะนำที่ดีสำหรับผู้ที่ต้องการเรียนรู้
ในท้ายที่สุด กรณีที่เป็นปัญหาเพียงอย่างเดียวไม่ใช่เส้นโค้งการเข้ารหัส
* ที่นั่นเราใช้ ทฤษฎีบทลากรองจ์ เรื่อง ทฤษฎีกลุ่ม;
เราควรสังเกตว่าเราใช้การย้อนกลับของทฤษฎีบท ถ้า $x|org(G)$ จากนั้นมีกลุ่มย่อยของคำสั่ง $x$. สิ่งนี้ไม่เป็นความจริงเสมอไปและ กลุ่มสลับระดับ 4 $A_4$ เป็นตัวอย่างที่เล็กที่สุด
โดยทั่วไปไม่มี สำหรับบางกรณีเฉพาะ (ถ้า $\mathbb{G}$ เป็นระเบียบเรียบร้อย $q_1 q_2$ และ $g$ ของการสั่งซื้อ $q_1$ กับ $q_1, q_2$ ช่วงเวลาสำคัญสองครั้งใหญ่) ปัญหานี้ถือว่ายากพอที่จะใช้เป็นสมมติฐานการเข้ารหัสที่เรียกว่าสมมติฐานการตัดสินใจกลุ่มย่อย
สามารถดูรายละเอียดเพิ่มเติมได้ใน กระดาษแผ่นนี้.
แต่อาจแตกต่างออกไปหากคุณมีข้อมูลการจัดหาบางอย่าง สมมติว่าคุณรู้คำสั่ง $q_1$ ของเครื่องกำเนิดไฟฟ้า $g$และคำสั่งของทั้งกลุ่ม $q_1 q_2$ (กับ $q_1, q_2$ จำนวนโคไพรม์สองตัว)
คุณสามารถตัดสินใจได้ว่า $G'$ อยู่ในกลุ่มที่สร้างโดย $g$ โดยดูว่า $[q_1]G^{\prime}=0$.
สำหรับกรณีที่เป็นลำดับของเครื่องกำเนิด $G$ เป็น $คิว$, และคำสั่งของทั้งกลุ่มคือ $q\cdot ม$, ที่ไหน $\gcd(q,m)=1$.
ตราบเท่าที $m$ ไม่ใหญ่เกินไปโดยเฉพาะ $ม<q+1$, ให้เป็นไปตาม ทฤษฎีบทไซโลว์มีเพียงหนึ่งกลุ่มย่อยของคำสั่ง $คิว$. ดังนั้นใคร ๆ ก็สามารถตัดสินใจได้ว่าจุดใด $G'$ อยู่ในกลุ่มโดยดูว่า $q\cdot G'=0$
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
